本文为Tide安全团队成员重剑无锋原创文章,转载请声明出处!
一直是从事web安全多一些,对waf绕过还稍微有些研究,但是对远控免杀的认知还大约停留在ASPack、UPX加壳免杀的年代。近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。
但是因为对逆向和二进制都不大熟,编译运行别人的代码都比较费劲,这时候就只能靠现成的工具来曲线救国了。为了,从互联网上搜集了二三十种免杀的方法,对msf或CS进行免杀测试,大部分都是互联网已有的方法,感谢大佬们的无私分享,我只是进行了重新汇总整理。
实验主要是使用了metasploit或cobaltstrike生成的代码或程序进行免杀处理,在实验机器上安装了360全家桶和火绒进行本地测试,在https://www.virustotal.com/上进行在线查杀。
1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2、远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5、远控免杀专题(5)-Veil免杀(VT免杀率23-71):
| 序号 | 免杀方法 | VT查杀率 | 360 | 火绒 | 卡巴 | McAfee | 微软 | Symantec | 瑞星 | 金山 | 江民 | 趋势 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 未免杀处理 | 53/69 | √ | √ | |||||||||
| 2 | msf自编码 | 51/69 | √ | √ | √ | ||||||||
| 3 | msf自捆绑 | 39/69 | √ | √ | √ | √ | |||||||
| 4 | msf捆绑+编码 | 35/68 | √ | √ | √ | √ | √ | ||||||
| 5 | msf多重编码 | 45/70 | √ | √ | √ | √ | √ | ||||||
| 6 | Evasion模块exe | 42/71 | √ | √ | √ | √ | |||||||
| 7 | Evasion模块hta | 14/59 | √ | √ | √ | √ | √ | ||||||
| 8 | Evasion模块csc | 12/71 | √ | √ | √ | √ | √ | √ | √ | √ | √ | ||
| 9 | Veil原生exe | 44/71 | √ | √ | √ | √ | |||||||
| 10 | Veil+gcc编译 | 23/71 | √ | √ | √ | √ | √ | √ | √ |
几点说明:
1、下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火绒版本5.0.33.13(2019.12.12),360安全卫士12.0.0.2001(2019.12.17)。
4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。
对web安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或关注公众号:
